التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام



العودة   :: vBspiders Professional Network :: > [ ::. الـحـمـايـة ~ Security .:: ] > حمـــاية السيــرفرات والمواقـــع

 
 
LinkBack أدوات الموضوع انواع عرض الموضوع
قديم 07-13-2009, 02:26 PM   رقم المشاركة : 1 (permalink)
معلومات العضو
 
الصورة الرمزية Mr.ErR0r
 

 

 
إحصائية العضو






Mr.ErR0r غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
Mr.ErR0r is on a distinguished road

. حماية منتديات vB من الهجومات الداخلية Directory Attacks كلو يعطي رايو ع كلامي


السلام عليكم ورحمة الله

أخباركم إخواني الأعضاء والزوار، إن شاء الله تكونو في أفضل الأحوال.
سوف نخصص هذا الموضوع حول مشاورات وتبادل الخبرات والأراء فموضوع حماية المنتديات من نوع vBulletin وان شاء الله الكل يشارك معنا ويعطي رايو

نعرفو لكلنا أنو هالمنتديات من هذا النوع أختراقها فأغلب الأحوال يكون بالهجمات الداخلية
Directory Attacks وقليل برشا باش نلقاو الهجمات الخارجية ناجعة في بعض الأحوال ..

نبدأ ببعض الأفكار :

أولا : نعلم أن الهاكرز عندما يكونون في السيرفر بالصلاحيات المحدودة مثل Apache أو No**** أو ما شابه فإنه يستطيع اختراق المنتديات التي على السيرفر بواسطة قراءة ملف الـ config.php، لذا فستتمحور أفكارنا حول كيفية حماية هذا الملف ..

ثانيا : نعلم أن كيفيات تغيير اسم هذا الملف ومساره قد غرت المنتديات العادية،وححكيلكم عحالي بكل بساطة هالشي لايسبب عائق لي سهل جدا تخطيه خصيصا مع المخترق المتمرس وذلك من خلال القفز من ملف إلى أخر ملف إلى أخر حتى يؤدي به فالأخير إلى مسار الكونفيج الحقيقي ثم يحملو ع الجهاز عندو وإذا لقاه مشفر يشوفلو شو التشفير الشغال عليه ويجيبلو البرنامج المناسب ليه ويفك تشفيرو ويقرأ المعلومات اللي يحب يقرها

طيب حنوضح للأخوان شو الملفات اللي تقدر توصل المخترق للكونفيج الحقيقي
class_core.php وملف init.php يحتوى على مسار الملف السابق لذلك يفضل حذفو هو والمجلد install اللي فيه من الاساس والglobal.php وغيره من الملفات الكثيرة في المنتدى التي تعتبر سلسلة مترابطة تؤدي إلى ملف الكونفيج الحقيقي في الأخير وسأذكر بعض منها بأختصار بأخر الموضوع

أقتراحي تعمل شغلة متعبة جدا بس تتريح بالك وتطمن عالأخر يمكن تتفاضالها يوم من الأيام وتنجزها هي انك تغير وتشفر كل الملفات التي لها علاقة أو يمكن توصل لملف الكونفيج وهالشغلة لازمها وسع بال ولأنو المخترق وبكل بساطة خصيصا لما يكون مش صبور حيمل ويزهق عالأخر عندما يلاقي كل الأبواب تسكرت في وجهو ومش عارف يوصل للي عاوزو فحلو أنو يسيب المنتدى ويروح يشوف غيره وهذا جزء من الحماية المتكاملة اللي نتحدث عنها

وايضا أنصح بشدة ياجماعة لما تكون حابب تشفر ملف فمش لازم تستعمل في تشفيرو برامج مضى عليها قرون وحكايتها فاضية يعني بيها أو بلاش كأنو الملف مش مشفر أصلا مثل الزند Zend و
IonCube و جميع التشفيرات التي تعمل بخاصية Bytecode أو نظام النواة.. وأنا شخصيا لا أنصح باستعمال ****64 كتشفير لسورس الملفات لأن فك تشفيره واضح ومكشوف في لغة الـ php توجد دالة لتشفير الباسورد بالـ ****64 ويوجد دالة أخرة لفك التشفير يعني لا يقف بتاتا في وجه أي هاكر يعلم ما يفعل
يعني بأختصار شديد حاولو تبتعدو عن التشفيرات المعروفة والسهلة في عالم الهاكرز حاولو أن تصلو لبرامج تشفير جديدة ليس لها مضاد حتى الان

ثالثا : أقترح تغيير مجلد includes الذي يحتوي على أغلب الملفات في المنتدى .
رابعا : أقترح تغيير متغير

كود:
$config 
في ملف الـ config.php لكي يتم تفادي الملفات التي تقرأ مسار ومحتوى ملف الـ config.php بواسطة هذا المتغير .

الملفات المؤدية لملف الكونفيج فالمنتدى

كود:
init.php
class_core.php
global.php
md5_sums_vbulletin.php
tableprefix.php
image.php
payment_gateway.php
diagnostic.php  
مستحسن تغيير متغيرات
كود:
config
MasterServer
SlaveServer
في هذه الملفات


خامسا : حماية باسورد مستعمل قاعدة البيانات بتكثير المتغيرات فيها وهذا مثال :

كود:
$dzsecurity = 'setting'; 
$net = 'google'; 
$s = 'electronic'; 
$config['MasterServer']['password'] = $dzsecurity.$net.$s;  
فيعطيك ناتج الباس هو settinggoogleelectronic
سادسا : تغيير محتوى ملف الـ index.php إلى ملف آخر ووضع في index.php كود الملف وهذا مثال :

كود:
 <?php 
include('dzsecurity.php') 
?>
حيث dzsecurity.php هو ملف الاندكس بعدما غيرت اسمه ، كما لا نستغني عن التشفير .

سابعا (بسطة شاملة عن بعض طرق حماية منتديات vb) :
من المستحسن باسورد الأدمن يكون معقد شوي حتى يصعب فكه مثلا يكون محتوى ع أرقام ورموز غريبة تحفضها انت بالممارسة مثال :
@ /. * ç\|> ² , . §µ £==)° ¨¨
ألخ

تغير عضوية الأدمن من (1) مثلا إلى اي رقم عضوية جديد او تقديم رقم عضوية خاطئ في رابط التصفح الملف الشخصي للادمن والمشاركات الخ

أخفاء اصدار المنتدى لأنو أي اصدار جديد لازم تكون فيه ثغرة المحترف يقدر يخترقك منها
وهناك هاك على ماأذكر جميل جدا عثرت عليه في مرة من المرات اثناء تصفحي أنصح به وأن وجدته مجدد سارفعه لكم وهو يقوم بأخفاء اصدار المنتدى من سورس الصفحة اصلا وأنتا تستطيع ايضا تحط اصدار مغالط تغالط بيه المخترق

تفعيل الجدارات النارية لكل مجلدات المنتدى المهمة

متابعة جديد الثغرات لترقيعها والبحث عن حلول لها واستشارة اصحاب العلم

تامن مسار مجلد المود والأدمن مثلا انك تحط فيهم ملف هاتكس .htaccess وفيه الأمر التالي :
كود:
#/////// By Mr.ErR0r /////#
Error******** 403 /403.htm
deny from all
#/////// ///////////////////////////#
#// من هنا ابدأ التعديل في قائمة السماح
#////////[ قائمة السماح ]/////////#

allow from 127.0.0.1
allow from 127.0.0.1
allow from 127.0.0.1

#////////[ قائمة السماح ]/////////#
تفسير الكود أنك تحط الايبهات المسموح لها بدخول لوحة الادمن وكذلك لوحة المود وتأمر مراقبي واداري الشبكة انهم يزودك بأيبيات اجهزتهم ويقومو بتثبيت أيبياتهم بأحدى البرامج المشهور لتثبيت ومن هناك لن يتمكنو من دخول اللوحة سوى من اجهزتم

وانتظرونا قريبا في دورة الحماية المتكاملة لمنتديات Vb من جميع الثغرات الموجودة حتى الأن من تقديمي
لعيون هالمنتدى الرائع اللي فرحت بوجود الكثير من اولاد وطني فيه وهذا ماخلاني اسجل فيه

الدورة حتكون تحت عنوان :
سلسلة الحماية المتكاملة لمنتديات ال vBulletin

بالتوفيق للجميع أخوكم
Mr.ErR0r



plhdm lkj]dhj vB lk hgi[,lhj hg]hogdm Directory Attacks ;g, du'd vhd, u ;ghld

التوقيع

لا تأسفن على غدر الزمان لطالما رقصت على جثث الأسود كلاب
تحسبن برقصها تعلو على أسيادها تبقى الأسود أسود والكلاب كلاب
http://www.up-00.com/dqfiles/sZg98976.gif
CrEaTed mAn T0 DiE
LiVinG TuNiSia
B9G@hotmail.fr

 

   

رد مع اقتباس
 

مواقع النشر (المفضلة)


تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة

الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
[BBcode] : تهنئ به اعضاء وزوار المنتدى كلامى وصورة xman2 قســم تطويــر المــــواقع 0 09-18-2009 08:02 PM
[شرح] : شرح حماية موقعك من الهكر مقدم من منتديات سجدة xman2 قســم تطويــر المــــواقع 0 07-31-2009 08:10 PM
[شرح] : شرح حماية موقعك من الهكر مقدم من منتديات سجدة support قســم تطويــر المــــواقع 0 07-31-2009 07:10 PM
كيفية حماية الملفات Password protecting directory + كيفية أخذ نسخة أحتياطية للموقع BlueHacker حمـــاية السيــرفرات والمواقـــع 4 07-03-2009 06:30 PM


الساعة الآن 02:09 PM


[ vBspiders.Com Network ]

SEO by vBSEO 3.6.0